开发一个风险管理程序时进行的第一项活动是: A、威胁评估 B、数据分类 C、资产盘点 D、并行模拟
IS指导委员会应当:
A、包括来自不同部门和员工级别的成员
B、确保IS安全政策和流程已经被恰当地执行了 C、有正式的引用条款和保管会议纪要
D、由供应商在每次会议上简单介绍新趋势和产品
在线(处理)系统环境下,难以做到完全的职责分工时,下面哪一个职责必须与其他 分开?
A、数据采集和录入 B、授权/批准 C、记录 D、纠错
为降低成本、改善得到的服务,外包方应该考虑增加哪一项合同条款? A、操作系统和硬件更新周期 B、与承包方分享绩效红利 C、严厉的违例惩罚 D、为外包合同追加资金
达到评价IT风险的目标最好是通过
A、评估与当前IT资产和IT项目相关的威胁
B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点
作为信息安全治理的成果,战略方针提供了: A、企业所需的安全要求 B、遵从最佳实务的安全基准 C、日常化、制度化的解决方案 D、_______风险暴露的理解
在数据仓库中,能保证数据质量的是: A、净化 B、重构
C、源数据的可信性 D、转换
应用系统开发的责任下放到各业务基层,最有可能导致的后果是 A、大大减少所需数据通讯 B、控制水平较低 C、控制水平较高 D、改善了职责分工
以下哪一项是业务流程再造项目的第一步? A、界定检查范围 B、开发项目计划
C、了解所检查的流程
D、所检查流程的重组和简化
企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是: A、限制物理访问计算设备 B、检查事务和应用日志
C、雇用新IT员工之前进行背景调查 D、在双休日锁定用户会话
组织内数据安全官的最为重要的职责是: A、推荐并监督数据安全政策 B、在组织内推广安全意识
C、制定IT安全政策下的安全程序/流程 D、管理物理和逻辑访问控制
执行应用控制审核的IS审计人员应评价: A、应用满足业务需求的效率 B、所有已发现的、暴露的影响 C、应用所服务的业务流程 D、应用的优化
质量保证小组通常负责:
A、确保从系统处理收到的输出是完整的 B、监督计算机处理任务的执行
C、确保程序、程序的更改以及存档符合制定的标准 D、设计流程来保护数据,以免被意外泄露、更改或破坏
由安全管理员负责的首选职责是: A、批准安全政策 B、测试应用软件
C、确保数据的完整性 D、维护访问规则
多用户网络环境下实现数据共享的基础在于程序间的通讯。以下哪项使得程序间通讯特性的实施和维护变得更加困难? A、用户隔离
B、受控的远程访问 C、透明的远程访问 D、网络环境
IS审计师在审计公司IS战略时最不可能: A、评估IS安全流程
B、审查短期和长期IS战略
C、与适当的公司管理人员面谈 D、确保外部环境被考虑了
某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是: A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据
D、在生产机构对销售定单的编号顺序进行追踪和计算
一个项目经理在目标期限内无法实施所有的审计建议。IT 审计师应该怎么做? A. 建议项目暂时停止直至问题得到解决; B. 建议采取补偿控制;
C. 对未解决的问题进行风险评估;
D. 建议项目经理进行资源的再分配来解决该问题。
在审查IT 灾难恢复测试时,下列问题中哪个最应引起IS 审计师的关注
A.由于有限的测试时间窗,仅仅测试了最必须的系统。其他系统在今年的剩余时间里陆续单独测试 B.在测试过程中,注意到有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败 C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档
以下哪一项是集成测试设施(ITF)的优势?
A、它利用了实际的主文件,因此IS审计人员可以不审查源交易 B、定期测试不要求隔离测试过程
C、它验证应用系统并测试系统的持续运行 D、它不需要准备测试数据
以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限
IS审计师应当使用以下哪种报告来检查遵守服务层次协议(SLA)有关可用时间的要求? A、利用情况报告 B、硬件故障报告 C、系统日志 D、可用性报告
对于数据库管理而言,最重要的控制是: A、批准数据库管理员(DBA)的活动 B、职责分工
C、访问日志和相关活动的检查 D、检查数据库工具的使用
为评估软件的可靠性,IS审计师应该采取哪一种步骤? A、检查不成功的登陆尝试次数
B、累计指定执行周期内的程序出错数目 C、测定不同请求的反应时间
D、约见用户,以评估其需求所满足的范围
在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序? A、确定程序的充分性 B、分析程序的效率
C、评价符合程序的程度
D、比较既定程序和实际观察到的程序
在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴? A、观察 B、计划 C、分析 D、调整
企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为:
A、挑选和配置阶段
B、可行性研究和需求定义阶段 C、实施和测试阶段 D、(无,不需要置换)
如下,哪一项是时间盒管理的特征?
A、它不能与原型开发或快速应用开发(RAD)配合使用 B、它回避了质量管理程序(或流程)的要求 C、它能避免预算超支和工期延后
D、它分别进行系统测试和用户验收测试
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是: A、用户参与不足 B、项目此理早期撤职
C、不充分的质量保证(QA)工具 D、没有遵从既定的已批准功能
在实施某应用软件包时,以下哪一项风险最大? A、多个未受控制的软件版本 B、源程序和目标代码不同步 C、参数设置错误 D、编程错误
集线器(HUB)设备用来连接: A、两个采用不同协议的LANs B、一个LAN和一个WAN
C、一个LAN和一个MAN(城域网) D、一个LAN中的两个网段
IS管理层建立变更管理程序的目的是: A、控制应用从测试环境向生产环境的移动
B、控制因忽略了未解决的问题而导致的业务中断 C、保证在灾难发生时业务操作的不间断 D、检验系统变更已得到适当的书面的记录
以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行? A、单元测试 B、压力测试 C、回归测试 D、验收测试
在审计系统开发项目的需求阶段时,IS审计人员应: A、评估审计足迹的充分性 B、标识并确定需求的关键程度 C、验证成本理由和期望收益 D、确保控制规格已经定义
评估数据库应用的便捷性时,IS审计师应该验证: A、能够使用结构化查询语言(SQL)
B、与其他系统之间存在信息的导入、导出程序 C、系统中采用了索引(Index)
D、所有实体(entities)都有关键名、主键和外键
软件开发的瀑布模型,用于下面的哪一种情况时最为适当的?
A、理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化 或变化很小
B、需求被充分地理解,项目又面临工期压力 C、项目要采用面向对象的设计和编程方法 D、项目要引用新技术
IS审计师正在检查开发完成的项目以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值的参考? A、用户验收测试报告 B、性能测试报告
C、开发商与本企业互访记录(或社会交往报告) D、穿透测试报告
假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪? A、星型 B、总线 C、环型 D、全连接
项目开发过程中用来检测软件错误的对等审查活动称为: A、仿真技术 B、结构化走查
C、模块化程序设计技术 D、自顶向下的程序构造
TCP/IP协议簇包含的面向连接的协议处于: A、传输层 B、应用层 C、物理层 D、网络层
当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS审计人员首先应关注的是: A、用户可能更愿意使用预先制作的测试数据 B、可能会导致对敏感数据的非授权访问
C、错误处理可信性检查可能得不到充分证实 D、没有必要对新流程的全部功能进行测试
以下哪一个群体应作为系统开发项目及结果系统的拥有者? A、用户管理层 B、高级管理层
C、项目指导委员会 D、系统开发管理层
以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模? A、程序评估审查技术(PERT) B、快速应用开发(RAD) C、功能点分析(FPA) D、关键路径法(CPM)
IS审计人员在应用开发项目的系统设计阶段的首要任务是: A、商定明确详尽的控制程序 B、确保设计准确地反映了需求
C、确保初始设计中包含了所有必要的控制 D、劝告开发经理要遵守进度表
对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重要的是: A、为每项测试方案准备充足的数据 B、实际处理中期望的数据表现形式 C、按照计划完成测试
D、对实际数据进行随机抽样
在契约性协议包含源代码第三方保存契约(escrow)的目的是: A、保证在供应商不存在时源代码仍然有效 B、允许定制软件以满足特定的业务需求 C、审核源代码以保证控制的充分性 D、保证供应商已遵从法律要求
IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题? A、构造
B、系统设计 C、验收测试 D、功能说明
为赶项目工期,而增加人手时,首先应该重新核定下面的哪一项? A、项目预算
B、项目的关键路径
C、剩余任务的(耗时)长短 D、指派新增的人手支做其工作
以下哪一项是数据仓库设计中最重要的因素? A、元数据的质量 B、处理的速度 C、数据的变动性 D、系统弱点
在检查基于WEB的软件开发项目时,IS审计师发现其编程没遵循适当的编程标准,也没有 认真检查这些源程序。这将增加如下哪一类攻击得手的可能性? A、缓冲器溢出 B、暴力攻击
C、分布式拒绝服务攻击 D、战争拨号攻击
在因特网应用中使用小应用程序(applets)的最有可能的解释是: A、它是从服务器跨网络发送
B、服务器不能运行程序且输出不能跨网络发送 C、它可同时改进WEB服务器和网络的性能
D、它是一种通过WEB浏览器下载并在客户机的WEB服务器上运行的JAVA程序
如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于: A、项目需求定义阶段 B、项目可行性研究阶段 C、项目详细设计阶段 D、项目编程阶段
以下哪一项是程序评估审查技术(PERT)相对于其它技术的优势?PERT: A、为规划和控制项目而考虑了不同的情景 B、允许用户输入程序和系统参数 C、准确地测试系统维护流程 D、估计系统项目的成本
对各业务部门实施控制自我评估最为有效的是: A、非正式的个人自我检查 B、引导式研讨会 C、业务流描述 D、数据流程图
信息系统审计师在什么情况下应该使用统计抽样,而不是判断抽样(非统计抽样)? A、错误概率必须是客观量化的 B、审计师希望避免抽样风险 C、通用审计软件不可用 D、可容忍误差率不能确定